最初準拠を達成するための検討を開始後、PCIDSSの要件を見ていくことを通じ、各要件に対応するためにはどのようなソリューションが必要か見ていきました。その中で唯一新規に導入が必要であるという結論に達したのがTripwireEnterpriseのソリューションです。TripwireEnterpriseは要件11.5の「ファイル整合性監視」について対応が可能であるとわかりましたし、製品の試用期間がありましたので、その期間を検討期間として充当できました。PCI DSSコンプライアンスの過程で発生するコストはどうしても想定されますが、TripwireEnterpriseの試用期間中にはしっかりしたサポートが受けられましたので、費用対効果面でもメリットがありました。また、TripwireEnterpriseの基本的な機能を中心としてPCIDSSの基準のある部分は網羅できてしまうので、評価など運用の開始までに取り組んだ作業はありますが、導入は円滑に進められました。
Tripwire Enterpriseの使用によりPCI DSS 準拠への取り組みを実施
株式会社デジタルガレージ イーコンテクストカンパニー
- 事例概要:
- Tripwire Enterpriseを活用したPCI DSS コンプライアンスへの取り組み
- ソリューション:
- Tripwire Enterprise
- PCI DSSに迅速に準拠し、準拠の達成後もその状態を維持する必要があった。また、準拠後も監査に必要な証跡を効率よく、かつ適切に準備し、PCI DSSおよび各種監査に対応する必要があった。
- Tripwire Enterpriseを導入、PCI DSSソリューションを活用
- 社内の運用や対応では達成が困難な、PCIDSS要件11.5「ファイル整合性監視」について完全対応。ファイル整合性を監視するための作業を自動化でき、運用管理の効率が大幅に向上、工数を削減できた。IT全般統制に必要な監査証跡を得るツールとしても活用。
PCI DSSに関する取り組みについて
弊社は決済代行サービスを提供しているため、セキュリティに関しての取り組みは大変厳しく行っています。カードの番号や個人情報などを扱うため、個人情報保護法が施行される以前からこういった情報の保護には取り組んでいます。しかし、トランザクション(取引数)が大規模な弊社のサービスの提供に際しては、PCI DSSへの準拠が必要です。また、認証されてからはPCIDSSの認証を頂いているロゴを提示しています。これは外部、内部の両方に対しセュリティに対する姿勢や取り組みを明示するという点で、よいきっかけになっているのではないでしょうか。
Tripwire Enterprise導入の背景
株式会社デジタルガレージ
イーコンテクストカンパニー
システム業務本部長
渡邉 太郎 氏
Tripwire Enterprise PCI DSSソリューションで実現したこと
PCIDSSの12の要件の中で11.5「ファイル整合性監視」については弊社の内部の運用や対応では達成が難しいものでした。また、ファイルの改ざん防止、モジュールを本番に更新する際の整合性の維持、何らかの不正があった場合証拠を残せることなどが必要でした。これらを解決するためにより運用しやすいツールが必要でしたし、PCIDSSで要求される証拠に対応するにはレポーティングの機能も必要でした。しかし例えば内部でプログラムを構築したのでは高コストですし、準拠までの期限もありました。そこでこれらを満たすソリューションを検討した結果、TripwireEnterpriseを導入することにしました。
導入後、業務や効率面において変化した点
この製品を使用しない場合、ファイルの整合性を監視するためには誰かがマニュアルで対応していく必要があります。例えば、週に1回誰かがチェックするといった作業が必要になります。しかし、Tripwire Enterpriseを使用することでこの作業を自動化することができます。通知機能を利用すればレポートが出力されますし、万が一何かあればアラートがあがります。運用管理の効率は大幅に上がりましたし、作業工数を削減できました。
Tripwire Enterpriseの活用
株式会社デジタルガレージ
イーコンテクストカンパニー
システム業務本部
システム部 部長
張替 英明 氏
PCI DSSに対応するためのTripwire Enterpriseの使用は、実はTripwire Enterpriseの活用のごく一部であると考えています。J-SOXでも同様の統制を求められていることも当初から認識しておりましたので、その面も見越した上でTripwireEnterpriseを選択して正解であったと考えています。今後はPCIDSSに加え、J-SOXへの対応に活用することを予定しています。特にIT全般統制に必要な監査証跡を得るツールとして活用していきます。J-SOXの対応の中では業務フローを記述していく必要がありますが、TripwireEnterpriseではファイルのチェックやレポーティング機能を使った証跡の確認など随所に使えるようになっているので、使えるだけ使っていこうと考えています。
コンプライアンスへの対応にまつわる業務は年々増えつつあります。ドキュメントや業務フローが増えても、従来と同じかそれ以上のメリットを実現しつつ、効率よく簡単に各業務やコンプライアンスへの取り組みを進めていくことは経営上の重要な課題の1つですが、Tripwire Enterpriseはそれを解決するツールの1つだと思います。当社は先駆的な事業を迅速に進めているという点が市場における価値です。業務の複雑化はこの価値に相反するものですが、事業の速度を落とさずに効率よく進めていくためのツールは、経営上の課題に応えるために活用していくべきだと考えています。また、Tripwire Enterpriseはセキュリティ面のみならず、運用管理の効率向上に活用できる側面も持ち合わせているソリューションなので、変更管理でも、もちろん活用していこうと考えています。ITインフラのどの部分をどのように変更するのかなど、情報システム部門として正確に把握しておく必要がありますが、コストを削減しつつ一層効率のよい運用管理を行うためにも活用していきたいです。
- お客様の声
「PCI DSSの要件11.5『ファイルの整合性監視』を実現するためには、誰かがマニュアルで対応していく必要があります。しかし、TripwireEnterpriseを使用することでこの作業を自動化できます。運用管理の効率は大幅に上がりましたし、作業工数を削減できました。」
「コンプライアンスへの対応にまつわる業務は年々増えつつあります。ドキュメントや業務フローが増えても、従来と同じかそれ以上のメリットを実現しつつ、効率よく簡単に各業務やコンプライアンスへの取り組みを進めていくことは経営上の重要な課題の1つですが、Tripwire Enterpriseはそれを解決するツールの1つだと思います。」
「PCIDSSに対応するためのTripwire Enterpriseの使用は、実はTripwire Enterpriseの活用のごく一部であると考えています。J-SOXでも同様の統制を求められていることも当初から認識しておりました。その面も見越した上でTripwireEnterpriseを選択して正解であったと考えています。」
株式会社デジタルガレージ
イーコンテクストカンパニー
システム業務本部長
渡邉 太郎 氏
- 株式会社デジタルガレージ・イーコンテクストカンパニーについて
-
渋谷オフィス:東京都渋谷区渋谷3-9-9 東京建物渋谷ビル7F
(イーコンテクストカンパニー)
http://www.garage.co.jp/econtext/index.htmlデジタルガレージ・イーコンテクストカンパニーは、ネットを通じての販売に際し決済を必要とされている事業者に代わり、課金を行うシステム、運用、契約を一本化してお客様に提供する収納代行の事業を運営しています。最近の事例では、イーコマースを運営されている店舗や大手家電量販店などの物販をはじめ、コンテンツやオンラインゲームなどの決済方法としてもご利用いただいています。今後の展開としては、幅広いお客様に便利にご利用いただけるよう、各業種のお客様のご要望にお応えする機能の実装やサービスの提供をより強化、充実させていくことを考えています。また、PCI DSSについては、準拠に向けて検討を開始したのは2008年の前半です。その後2008年12月にPCI DSSへの準拠を達成しました。
関連製品
改ざん検知・セキュリティ可視化Tripwire EnterpriseITシステムの変更管理によるコンプライアンスの証明、セキュリティの可視化、運用管理の向上をお約束します。
